WP29: ePrivacy Verordening doet Algemene Verordening Gegevensbescherming tekort

Op 10 januari jl. publiceerde de Europese Commissie een tekstvoorstel voor de ePrivacy Verordening. In onze update van 24 januari 2017 stipten we al aan dat het voorstel nog door het Europees Parlement en de Raad van de Europese Unie zal moeten worden aangenomen, en dat wij de verwachting hadden dat ook de Artikel 29 Werkgroep (“WP29”) zich hierover zou uitlaten.

De WP29 heeft inderdaad op 10 april jl. een opinie gepubliceerd, waarin zij zich zeer kritisch over het tekstvoorstel uitlaat. Deze kritiek komt overigens niet onverwacht, gelet op het feit dat de WP29 al in juli 2016 verschillende aanbevelingen heeft gedaan (toen nog naar aanleiding van de Richtlijn) die in het tekstvoorstel niet zijn overgenomen. In deze update bespreekt Ovidius de vier grootste problemen die door de WP29 worden gesignaleerd.

Opfrissen: waarom de ePrivacy Verordening?

De ePrivacy Verordening is een onderdeel van het streven naar de zogenaamde ‘Digital Single Market’. De Digital Single Market is het aspect van de interne Europese vrije markt dat zich richt op elektronische communicatie, e-commerce en digitale marketing. Het doel van de ePrivacy Verordening is om de ePrivacy-wetgeving in overeenstemming te brengen met de privacywetgeving uit de Algemene Verordening Gegevensbescherming. Het streven is dan ook om de ePrivacy Verordening op hetzelfde moment van kracht te laten worden als de -reeds aangenomen- Algemene Verordening Gegevensbescherming (de “Privacy Verordening”).

De reactie van WP29

De WP29 is enthousiast over het bredere toepassingsgebied van de ePrivacy Verordening: anders dan de richtlijn, is de ePrivacy Verordening ook van toepassing op moderne communicatiemiddelen, zoals WhatsApp, Facebook Messenger en Gmail. Ook prijst de WP29 het feit dat metadata uitdrukkelijk worden aangestipt in de ePrivacy Verordening.

De ePrivacy Verordening is bedoeld als een lex specialis ten opzichte van de Privacy Verordening. Om die reden adviseert de WP29 een paar expliciete bepalingen op te nemen die de verhouding tussen de ePrivacy Verordening en de Privacy Verordening nader bepalen, zoals:

  • De verboden in de ePrivacy Verordening gaan boven de rechten die in de Privacy Verordening worden toegekend;
  • Als sprake is van een uitzondering onder de ePrivacy Verordening waar het gaat om de verwerking van persoonsgegevens, moet deze verwerking nog steeds voldoen aan de vereisten van de Privacy Verordening.

De WP29 stelt echter tegelijkertijd vast dat de ePrivacy Verordening in de huidige vorm niet voldoet als lex specialis, nu deze het door de Privacy Verordening geboden beschermingsniveau ondermijnt. In het bijzonder maakt de WP29 zich (ernstig) zorgen over vier specifieke onderwerpen:

  • Wifitracking: Onder de Privacy Verordening zal wifitracking -het lokaliseren van personen op basis van de informatie die door hun telefoon of andere apparaten wordt uitgezonden- in de regel alleen zijn toegestaan als sprake is van (i) (uitdrukkelijke) toestemming van de persoon in kwestie; of (ii) geanonimiseerde data. De ePrivacy Verordening lijkt daarentegen te suggereren dat voor wifitracking geen toestemming is vereist. Het tekstvoorstel verplicht enkel dat melding wordt gemaakt van de tracking, en dat diverse veiligheidsvoorschriften worden geïmplementeerd. Bovendien stelt de ePrivacy Verordening geen duidelijke grenzen aan de reikwijdte van dergelijke dataverzameling of de verwerking daarvan, terwijl dit op grond van de Privacy Verordening proportioneel, legitiem en transparant dient te zijn.
  • Vertrouwelijkheid van inhoud van en metadata over berichten: De WP29 bekritiseert de keuze van de ePrivacy Verordening om -voor wat betreft het beschermingsniveau- een onderscheid te maken tussen enerzijds de inhoud van berichten, en anderzijds de metadata. Het uitgangspunt zou moeten zijn dat voor beide type data toestemming van álle eindgebruikers (zender en ontvanger) is vereist. Daarop kunnen wel uitzonderingen worden gemaakt, maar die moeten concreet en expliciet worden omschreven.
  • Standaardinstellingen eindapparatuur: De ePrivacy Verordening vereist dat aanbieders van software de mogelijkheid bieden om een hoog beveiligingsniveau in te stellen; en dat zij hun eindgebruikers verplichten om voor een bepaald beschermingsniveau te kiezen. Daarmee gaat de ePrivacy Verordening echter niet zo ver als de Privacy Verordening, die het principe ‘privacy by default’ hanteert: de standaardinstellingen van een apparaat moeten het hoogst mogelijke beschermingsniveau bieden. Het idee achter dit uitgangspunt is dat het voor de gebruiker zo makkelijk mogelijk moet worden gemaakt om zijn data te beschermen. Daarmee beoogt de Privacy Verordening de onrechtmatige verwerking van data -dat wil zeggen, zonder geldige toestemming- tegen te gaan. De ePrivacy Verordening biedt daarin niet zelfde bescherming als de Privacy Verordening doet.
  • Verbod op ‘tracking walls’: Een ‘tracking wall’ is een praktijk waarbij alleen gebruik kan worden gemaakt van bepaalde diensten als de gebruiker toestemming geeft om ook bij andere websites te worden gevolgd. De WP29 heeft al in eerdere opinies opgemerkt dat deze praktijken zelden legitiem zijn, omdat dergelijke toestemming niet als geldig wordt beschouwd. De WP29 had gehoopt dat de ePrivacy Verordening deze tracking walls uitdrukkelijk zou verbieden; en roept de Europese wetgever op dit alsnog te doen.

In aanvulling hierop, noemt de WP29 een scala aan andere punten die in een nieuwe versie geadresseerd zullen moeten worden; en worden tekstsuggesties gedaan die voor meer duidelijkheid moeten zorgen voor wat betreft de implementatie.

Terug naar de tekentafel?

De kritiek van de WP29 is fors, en komt er in het kort op neer dat de ePrivacy Verordening in deze vorm niet doet wat deze zou moeten doen. Dat legt nog meer druk op de toch al krappe deadline van 26 mei 2018, als de Privacy Verordening van kracht wordt. Het is nog afwachten of iets met de kritiek van de WP29 zal worden gedaan. Ovidius houdt u op de hoogte van de ontwikkelingen.

Bron: WP29 Opinion 1/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC)